winlogon.exe

[pasteur-bln 10]

Ich denke die Frage ist ein Klassiker - weil ich habe in div Foren Beiträge gefunden aber alle waren unbeantwortet.

 

Das Problem der Dienst winlogon.exe verbraucht permanent ca 90 % der CPU Leistung - was kann man tun der Rechner läuft sonst prima ( 200 MHz P 128 MB ) Servicepack 3 ist installiert auf dem System läuft zur Zeit nur der Service von AVM KEN DSL.

 

Netzwerk 1X 2K

2x XP Pro alles manuell konfiguriert

 

192.168.115.1 Proxy

 

192.168.115.50-49 Clients

[Dr.Melzer 191]

Da läuft irgend etwas falsch. Winlogon ist der Anmeldedienst uns braucht normalerweise keine Ressourcen.

[real_tarantoga 11]

dieses problem ist sehr wohl ein klassiker und ich kenne dieses problem mit windows 2000 advanced server.

microsoft hat keine eindeutige lösung dafür, aber es gibt artikel zum thema. ich will das nicht wiedergeben, du kannst ja selbst entscheiden, was eventuell zutrifft.

bei mir lag das problem übrigens an folgendem:

windows 2000 server versuchen zum teil netlogon vor dns zu sraten, bei einem domain controller führt dies zu inkonsistenten daten des dns!!! dieses problem kannst du nur beheben, in dem du den netlogon in abhängigkeit vom dns bringst!

nun zu dem artikel von ms:

http://support.microsoft.com/default.aspx?scid=kb%3Ben-us%3B329897

 

irgendwo hab ich noch ne reg-datei, die das problem beheben kann. ich poste das mal.

[real_tarantoga 11]

so hab's gefunden - es passiert folgendes, lamanserver und dns sind zwingend für das laden von netlogon!

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon]
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
 4c,61,6e,6d,61,6e,53,65,72,76,65,72,00,44,6E,73,00,00

[real_tarantoga 11]

bei der professional sieht das folgendermassen aus: lanmanworkstation und dnscache werden abhängigkeiten für netlogon!

 

exportiere dir sinnvollerweise erstmal die originaleinstellungen, damit du sie später reimportieren kannst, wenn nötig.

es kann dir nicht viel passieren - fehler, die sich eventuell daraus neu ergeben, findest du in den ereignisprotokollen. der bootvorgang verkürzt sich bei erfolg, bei misserfolg verlängert er sich (etwa 5 bis 10 minuten!) dann kannst du den schlüssel ja wieder löschen.

diese angaben gibst du aber besser per hand ein, denn der import über die zwischenablage könnte schief gehen (ascii <-->unicode) und gilt ja nicht für die workstation, sondern server!

 

nach dem lesen deiner pn:

mich wundert jetzt allerdings, dass es auf einer professional dieses problem gibt?! du hast das system neu installiert - die cd ist gekauft, der rechner war "blank" oder vorinstalliert? hast du dennoch nach dem klezvirus scannen lassen? was für einstellungen hast du denn unter tcp/ip? mach doch mal ein ipconfig /all >c:\ipconfig.txt und kopiere das ergebnis hier als post. das wird vielleicht weiterhelfen (...)

[pasteur-bln 10]

So den Reg Eintrag habe ich geändert ohne Erfolg es war nichts zu merken. Nach dem Starten habe ich den Taskmanager geöffnet für ca 10 sec war die Nutzung bei "null" juhu dachte ich dann gings wieder rauf auf 95-99%

 

hier mein ipconfig.txt

 

 

Microsoft Windows 2000 [Version 5.00.2195]

© Copyright 1985-2000 Microsoft Corp.

 

C:\>ipconfig

 

Windows 2000-IP-Konfiguration

 

Ethernetadapter "Kennetzwerk":

 

Verbindungsspezifisches DNS-Suffix:

IP-Adresse. . . . . . . . . . . . : 192.168.114.254

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . : 192.168.114.1

 

Ethernetadapter "Büronetzwerk":

 

Verbindungsspezifisches DNS-Suffix:

IP-Adresse. . . . . . . . . . . . : 192.168.115.1

Subnetzmaske. . . . . . . . . . . : 255.255.255.0

Standardgateway . . . . . . . . . :

[real_tarantoga 11]

also, von der seite seh ich nix - naja, manchmal gibt's ja wunder :(

sorry, aber die beiden tipps (reg und virenscan) sind das einzige, was mir in dem zusammenhang einfällt!

aber bei dyndns bist du nicht zufällig gemeldet - nicxht dass du dir irgendeinen backdoor-prozess eingefangen hast!

 

du solltest wirklich mal nach dem virus gucken?! hier gibt's per Rechtsklick 'nen Fix von Symantec. Du musst ihn aber im abgesicherten modus ausführen!

Sieh mehr hier (auch mit download):

http://securityresponse.symantec.com/avcenter/venc/data/w32.klez.removal.tool.html

 

In diversen Newsgroups habe ich nachlesen können, dass - obwohl kein Internet/Email-Zugriff erfolgte - der Wurm dennoch zuerst auf diesem Rechner stattfand. Da Du geschrieben hast, Du hättest ein Mini-LAN, schau wirklich danach!!!

 

gruss, r_t

[Lian 2.361]

@real_tarantoga: thx für Deine Mühe, das ist ein heisser Anwärter für das Tipps & Links Subforum :)

[real_tarantoga 11]

wollte noch anmerken - die bemerkung mit dyndns bezieht sich auf den somit frei erreichbaren eigenen rechner und nicht auf den service anbieter - meine erfahrungen sind, dass viele, die sich bei dyndns anmelden, zu wenig für sicherheit auf ihrer seite sorgen, meist auch garnicht wissen, wie das geht. bereits zu testzwecken mehrere rechner bei dyndns gemeldet und ins netz gehängt - dauert keine 3 Stunden (!) da waren die ersten scriptkiddie-attacken da!!!